Web Logic Attacks
Web Logic Attacks
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- متوسط
- مسیر قرمز
- ۳ درس
دربارهی این دوره
امروزه به دلیل گسترش کسبوکارهای اینترنتی و تعامل بیشتر مخاطبین و سرویسدهندهها در بستر اینترنت، اپلیکیشنهای وب و موبایل نقش مهمی در روزمرگیهای ما پیدا کردهاند. این امر موجب افزایش حملات بر روی این اپلیکیشنها نیز شده است. به صورت کلی آسیبپذیریهای سمت وب به دو دستهی فنی و منطقی تقسیم میشوند. با پیشرفت تکنولوژیهای امنیتی مانند WAF، پیادهسازی حملات فنی مانند SQL Injection, XSS و… دشوارتر شده است.
با توجه به موارد ذکر شده، امروزه دستهی دیگری از آسیبپذیریها به نام آسیبپذیریهای منطقی، مورد توجه بسیاری از متخصصین امنیت قرار گرفته است. در واقع انجام هر عملیاتی مانند ثبتنام یا ورود به سامانه، نیازمند طیشدن فرآیند مشخصی در وبسایتها است. در صورتی که یک شخص بتواند فرآیند از پیش تعیین شده را تغییر دهد و یا نقصی در آن ایجاد کند، به یک آسیبپذیری منطقی دست پیدا کرده است. آشنایی و شناخت این دسته از حملات، خود میتواند منجر به یافتن تعداد بیشتری از آسیبپذیریها شود که این امر هم در بحث تست نفوذ و هم در بحث باگبانتی بسیار تاثیرگذار خواهد بود.
شما با حضور در دورهی Web Logic Attacks ضمن آشنایی با این نوع از آسیبپذیریها، موارد متعددی از حملات منطقی مانند مفاهیم آسیبپذیریهای منطقی، منطقهای کسبوکاری، نقاط ضعف منطقی در کنترل دسترسی، نقاط ضعف منطقی در احراز هویت و بسیاری موارد دیگر را به صورت عملی خواهید آموخت.
مدت زمان این دوره ۱۶ ساعت است که طی ۲ جلسهی ۸ ساعته، پنجشنبه ۲۹ و جمعه ۳۰ تیر از ساعت ۱۰:۰۰ الی ۱۸:۰۰، به صورت آنلاین برگزار خواهد شد.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
- متخصصین فعال در زمینهی Bug Bounty
- مشاورین امنیت سایبری
- توسعهدهندگان وب اپلیکیشنها
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- از آنجایی که در این دوره تنها به آسیبپذیریهای منطقی پرداخته میشود، دانشجو باید با آسیبپذیریهای فنی و مقدمات ارزیابی امنیتی وب اپلیکیشنها آشنایی داشته باشد. همچنین آشنایی با حداقل یک زبان برنامهنویسی میتواند بسیار تاثیرگذار باشد. مهمترین پیشنیازهای این دوره عبارتند از:
- آشنایی با آسیبپذیریهای رایج در وب یا آشنایی با یکی از دورههای 542 SEC و یا 10 OWASP Top
- حداقل یک سال تجربهی کاری در زمینهی امنیت سایبری و تست نفوذ
- آشنایی با یک زبان برنامهنویسی سمت سرور
- آشنایی با Burp Suite
سرفصلهای دوره
-
Business Logic
-
Logical vs Technical Bugs
-
Business Logic & Business Rules
-
From client-side controls to Business Logic Error
-
Unconventional Inputs
-
Dual-Use Endpoints
-
Privacy Violation Issues
-
Race Condition
-
Introduction to Race Condition
-
Exploitation Techniques
-
Race Condition in payment Gateways
-
-
Vulnerabilities Around Payment Gateways
-
Encryption
-
Encryption Models
-
Real World Attack Scenarios
-
-
Prevention Tips
-
-
Access Control Flaws
-
Introduction to Access Control Mechanism
-
Access Control Types & Models
-
Access Control Policies
-
Vertical Access Control
-
Multi-Step Functionalities
-
IDOR
-
Real World Scenarios
-
Prevention Tips
-
-
Logical Flaws in Authentication
-
Password Reset Logical Flaws
-
Rate Limit
-
SSO Logical Flaws
-
What is SSO
-
How SSO works
-
Logic behind of SSO process
-
SSO Vulnerabilities
-
-